Как банки защищают деньги бизнеса и почему мошенники всё равно находят лазейки
В 2024 году объём мошеннических операций с банковскими счетами юридических лиц и ИП в России превысил 14 млрд рублей, по данным Банка России. При этом банки отражают около 99,3% попыток несанкционированного доступа. Парадокс в том, что оставшиеся 0,7% дают гигантский финансовый ущерб: большинство успешных атак направлены не против рядовых транзакций, а против крупных платежей, где даже единичная операция может обнулить счёт компании.
Для торгового бизнеса банковская безопасность имеет два измерения. Первое — защита собственного счёта и онлайн-кабинета. Второе — безопасность приёма платежей от покупателей, включая возвратное мошенничество (чарджбэк) и операции с краденными картами.
Как устроена защита входящих платежей
При каждой карточной транзакции в торговой точке или интернет-магазине банк-эквайер и платёжная система запускают многоуровневую проверку. Анализируется геолокация устройства, история покупок держателя карты, время операции, сумма и паттерн поведения. Системы машинного обучения у Сбербанка, Т-Банка и ВТБ способны блокировать подозрительную транзакцию за 200–400 миллисекунд, то есть до того, как покупатель увидит подтверждение.
Для интернет-торговли обязательным стандартом стал 3D Secure 2.0, который адаптирует строгость проверки к риску конкретной операции. При низком риске покупатель даже не замечает верификации; при высоком его перенаправляют на дополнительное подтверждение через банковское приложение. Это снизило конверсионные потери от ложных срабатываний с 8–12% (в версии 1.0) до 1–3%.
Главные угрозы, которые технологии не закрывают полностью
Социальная инженерия остаётся главным вектором успешных атак. Мошенники звонят сотрудникам бухгалтерии, представляются службой безопасности банка или контрагентом, и убеждают самостоятельно провести платёж или передать реквизиты. По статистике ЦБ РФ, в 68% случаев потери бизнеса происходят именно из-за действий собственных сотрудников под влиянием манипуляции.
Второй распространённый сценарий: подмена реквизитов в счёте перед отправкой. Мошенники взламывают почту контрагента и в последний момент заменяют номер счёта в PDF. Банк исполняет платёж корректно, ведь с технической точки зрения операция выглядит легитимно. Защита здесь только одна: верификация реквизитов по отдельному каналу (звонок напрямую, мессенджер) перед каждым крупным платежом.
Для торговых компаний, работающих на Ozon и Wildberries, актуальна схема фиктивных возвратов: покупатель оформляет чарджбэк через банк-эмитент, утверждая, что товар не получен. До финала разбирательства деньги блокируются у продавца. Маркетплейсы постепенно вводят собственные механизмы защиты продавцов, однако процедура оспаривания всё ещё занимает от 30 до 90 дней.